OFPPT

Office de la Formation Professionnelle

et de la Promotion du Travail

Direction Recherche et Ingénierie de la Formation

Examen de Fin de Formation _ CDJ _ CDS

Session JUILLET 2017

Filière : Techniques des Réseaux Informatiques Epreuve : Théorique

Session Novembre 2004Barème : 40 points
Niveau : Technicien Spécialisé Durée : 4h

fo
.in
pt
fp

« Alliance minière marocaine : AMM » est un groupe industriel dont l’activité principale est
l’extraction et traitement de gisements miniers : principalement du cobalt, argent et cuivre.
.o

Le siège de la société se trouve à Casablanca. Le groupe possède actuellement six (06) sites en
w

activité, ces sites dépendent des mines d’extraction et de traitement.

w

Le groupe se charge de tout le processus d’activité depuis l’exploration et l’extraction en passant

par le traitement et la valorisation jusqu’au commercialisation.
w

Le système informatique de la société est amélioré constamment pour prendre en charge les
dernières technologies et pour répondre efficacement aux besoins des utilisateurs.

Un progiciel de gestion intégré ( ERP) permet une gestion informatisée de toutes les activités de
l’entreprise ( gestion des approvisionnements, gestion des ressources humaines, suivi de opération de
commercialisation …)

Des solutions Internet permettent l’interconnexion des différents sites. Pour pallier aux
problèmes de sécurité, la technologie VPN est adoptée.

Les réseaux locaux de l’entreprise utilisent des routeurs Cisco 2901 et commutateurs Cisco
Catalyst 2960 (Layer 2) et 3560 (Layer 3).

Des serveurs Windows et Linux sont utilisés au niveau central et/ou par site pour assurer des
rôles d’authentification, DNS et DHCP et pour héberger les applications métiers.

Votre tâche consiste en l’analyse et la proposition de solutions pour mettre à niveau le système
informatique actuel de la société.

www.ofppt.info
 Le réseau du groupe se compose de 7 réseaux (entre siège et sites miniers).

Le réseau IP 10.0.0.0 /20 est utilisé globalement pour l’adressage. Le cahier de charge prévoit
un maximum de 800 adresses IP par site.

1) Réaliser un découpage réseau pour affecter à chacun des réseaux ci-dessous un

nombre d’adresses assurant le besoin décrit.

N° ordre Nom du site Adresse réseau /longueur de préfixe

0 Siège 10.0.0.0 /22
1 Site-A 10.0.4.0 /22
2 Site-B 10.0.8.0 /22
3 Site-C 10.0.12.0 /22
4 Site-D 10.0.16.0 /22
5 Site-E 10.0.20.0 /22
6 Site-F 10.0.24.0 /22

Le site minier Site-D se trouve au sud du Maroc et est utilisé principalement pour l’exploitation
de l’argent et du zinc.

fo
Sur le plan fonctionnel, la mine est organisée comme suit :
.in
➢ Service approvisionnement.
➢ Service contrôle de gestion.
pt
➢ Service qualité et sécurité.
➢ Laboratoire.
fp

➢ Service de traitement.
.o

2) Compléter le tableau d’adressage en annexe 1 pour le Site-D

w

L’administrateur local a opté pour des commutateurs multicouches pour assurer le routage
w

inter-Vlan.
w

3) Quelles sont les caractéristiques des commutateurs multicouches ?

• Acheminement des données basées sur des informations de couche 3.
• Routage plus rapide par rapport aux routeurs.
• Prennent en charge certains protocoles de routage.
• Prennent en charge les listes de contrôle d’accès.
• Les ports peuvent être configurés en ports « routés ».
• …
4) Donner les commandes pour configurer les ports Fa0/1 et Fa0/2 en lien agrégé
Etherchannel sans protocole de négociation sur MultilayerSW2.

interface range FastEthernet0/1-2

channel-group 1 mode on
5) Donnez la commande pour configurer le port-channel créé en mode agrégation avec
l’id 77 comme id du vlan natif.

interface port-channel 1
switchport trunk encapsulation dot1q

www.ofppt.info
 switchport mode trunk
switchport mode trunk
6) Donnez la commande(s) pour autoriser tous les Vlans sauf le Vlan 55 sur cette liaison.
switchport trunk allowed vlan 50
7) Donner les commandes nécessaires pour assurer le routage inter-vlan à l’aide de SVI
entre les VLANs 11, 22 et 55 sur MultilayerSW3.

ip routing

interface Vlan 22
ip address 10.0.16.1 255.255.255.192

interface Vlan 11
ip address 10.0.16.129 255.255.255.224
interface Vlan 55
ip address 10.0.16.65 255.255.255.192

L’interconnexion entre le siège et les différents sites est établie à base de liaison Internet à

fo
travers des connexions VPN.

Le Site-D à l’instar de la majorité de sites se trouve éloigné d’un accès ADSL disponible, pour
.in
cette raison, on utilise une connexion VSAT à 22 Mbps comme liaison principale avec technologie VPN.
pt
Le schéma des connexions est disponible sur l’annexe 2.

8) Quelles sont les caractéristiques d’une connexion Internet par VSAT ?

fp

• Connexion par
9) Présenter les avantages des VPN en justifiant leur utilisation par le groupe.
.o

Very Small Aperture Terminal

w

Connexion par satellite

Réseau de communications par satellite pour transmission bidirectionnelle de données
w

Du côté du siège, trois serveurs sont utilisés pour héberger des applications accessibles depuis
w

Internet. La solution consiste à configurer une traduction NAT. Pour préserver les adresses publiques,
l’administrateur décide d’exploiter les fonctions de redirection de port.

La description de la configuration à réaliser est comme suit :

Protocole @IP privée : N° de port @IP publique : N° de port

TCP 10.0.0.100 : 80 41.141.244.143 : 8000
TCP 10.0.0.200 : 21 41.141.244.143 : 2121
10) Donnez les commandes pour configurer la NAT avec redirection de port.

ip nat inside source static tcp 10.0.0.100 80 41.141.244.143 8000

ip nat inside source static tcp 10.0.0.200 21 41.141.244.143 2121

Des listes d’accès sont configurés au niveau du commutateur MultiLayerSW3, l’objectif étant
de :

• Permettre au Vlan 11 et Vlan22 de se connecter sur Server-A (2éme adresse VLAN

serveurs) sur le port http.

www.ofppt.info
 • Permettre au Vlan44 et Vlan55 de se connecter au Server-B (3éme adresse VLAN
serveurs) sur le port https.

11) Créer une liste de contrôle d’accès nommée « APPS-METIER » permettant de répondre
à ces contraintes.

ip access-list extended APPS-METIER

permit tcp 10.0.16.128 0.0.0.31 host 10.0.16.242 eq www

permit tcp 10.0.16.0 0.0.0.127 host 10.0.16.242 eq www
permit tcp 10.0.16.192 0.0.0.31 host 10.0.16.243 eq 443
permit tcp 10.0.16.160 0.0.0.31 host 10.0.16.243 eq 443

Le groupe tout entier exploite la technologie Microsoft Active Directory pour gérer
l’authentification et les autorisations des utilisateurs.

Un domaine parent appelé « amm.local » est configuré au niveau du siège, alors que chaque site
possède un domaine enfant à l’exemple du Site-D qui détient le domaine « siteD.amm.local »

fo
A chaque site géographique on a fait correspondre un site Active Directory.

12) Qu’est-ce qu’un site Active Directory ?

.in
un site représente un ensemble d’ordinateurs connectés par un réseau haut débit, tel
qu’un réseau local (LAN). En général, tous les ordinateurs du même site physique résident
pt
dans le même bâtiment, ou éventuellement sur le même campus de réseaux.
fp

Le tableau suivant récapitule les maîtres d’opérations et services A.D présents par contrôleur de
domaine.
.o

Maître
w

Contrôleur d’attribution Maître Maître Emulateur Catalogue

de schéma des noms de RID d’infrastructure PDC global
w

domaine
w

DC-1 X X X
Siège DC-2 X X X
DC-3 X
DC-4 X X X
Site-D
DC-5

13) Quel est le rôle d’un serveur de catalogue global dans une organisation Active
Directory ?

Le catalogue global est l’ensemble de tous les objets d’une forêt AD DS (Active Directory
Domain Services). Un serveur de catalogue global est un contrôleur de domaine qui
enregistre une copie complète de tous les objets de l’annuaire pour son domaine hôte et
une copie partielle en lecture seule de tous les objets pour tous les autres domaines de
la forêt.

L’exploitation de rapports sur l’utilisation de la bande passante du réseau Internet a révélé un

constat lié à une forte utilisation de la liaison Internet au moment des ouvertures de session.

www.ofppt.info
 14) Comment expliquer ce constat ?
Lorsqu’un utilisateur d’une forêt à domaines multiples ouvre une session sur un domaine
où les groupes universels ne sont pas autorisés, le contrôleur de domaine doit contacter
un serveur de catalogue global afin de récupérer toute appartenance de l’utilisateur aux
groupes universels dans d’autres domaines.
• recherche des objets.
• fournit une authentification des noms d’utilisateurs principaux.
• fournit des informations sur l’appartenance aux groupes universels dans un
environnement à domaines multiples.
15) Quelle solution peut-on proposer pour régler ce problème ?
Configurer un des contrôleurs de domaine du site comme catalogue gobal.

Un nouveau point d’exploitation loin de quelques kilomètres sera utilisé au niveau du Site-D, un
petit bureau temporaire a été mise en place contenant quelques ordinateurs et autres équipements.
En termes de connectivité réseau, le choix a été porté sur la mise en place de ponts Wifi. (Voir annexe3)

Un pont Wifi est installé de chaque côté, il fournit une interface RJ45 pour la connexion locale,
de l’autre côté la connexion envers l’autre pont utilise la bande de fréquence 5 GHZ évitant bon
nombre d’interférences qui peuvent toucher la fréquence 2.4 GHZ.

fo
16) Expliquez les interférences pour la bande 2.4 GHZ. Donnez des exemples de dispositifs
.in
causant ces problèmes.
Des perturbations entre les signaux de différentes sources utilisant une même plage
dans la bande de fréquence.
pt
• Le four à micro-ondes
• téléphones sans fi
fp

• webcams sans fi
• appareils Bluetooth
.o
w

17) Quelles sont les normes 802.11 compatibles avec la bande de fréquence 5 GHZ ?
w

• 802.11 a
w

• 802.11 n
• 802.11 ac

L’administration locale a décidé d’installer un contrôleur de domaine en local pour le nouveau

point d’exploitation, ce dernier étant moins sécurisé et ne bénéficiera pas d’une présence permanente
d’un administrateur.

18) Quelle solution peut être adoptée concernant l’installation du nouveau contrôleur de
domaine ?
Installer un contrôleur RODC

Le serveur Server-D (5éme adresse VLAN serveurs) est un serveur linux, il assure le rôle de
serveur secondaire pour la zone « siteD.amm.local ». Le serveur est adressé de manière statique.

19) Donnez le contenu du fichier de configuration d’interface correspondant au serveur.

(Indiquer essentiellement l’interface, le type de protocole, l’adresse IP, le masque, et
le type de démarrage automatique).
DEVICE=eth0
BOOTPROTO=none

www.ofppt.info
 ONBOOT=yes
NETWORK=
NETMASK=
IPADDR=

Les directives suivantes ont été extraites du fichier de configuration BIND (les variables ip1, ip2,
ip3 représentent des adresses IP ).

forwarders { ip1 ; } ;
listen-on { 127.0.0.1; ip2; };
allow-recursion {ip3;};
notify yes ;
20) Expliquer les différentes directives.
Forwarders : Transmettre les requêtes à d’autres serveurs si ce serveur ne sait pas résoudre ces
adresses.
Listen-on : port d’écoute.
Allow-recursion : Autoriser les requêtes récursives

fo
Notify : informer les serveurs secondaires de la modification de la zone.
.in
21) Quelle directive doit être ajoutée à une zone DNS sous Linux pour autoriser la mise à
jour dynamique de la zone ?
allow-update
pt
22) Si l’administrateur devait configurer une zone de recherche inversée pour le sous-
réseau 10.20.0.0 /16, quelle serait le nom de cette zone ?
fp

20.10.in-addr.arpa
.o

Les stratégies de sécurité de l’entreprise prévoient l’utilisation de la journalisation à des fins de

surveillance et de sécurité.
w

Le serveur Server-D assure aussi le rôle de serveur syslog. On doit s’assurer que le service de
w

syslog nommé syslogd démarre pour les niveaux d’exécution : multi-utilisateurs sans X11 et multi-
utilisateurs avec X11.
w

23) Donnez la commande permettant de s’assurer du démarrage du service syslogd pour

les deux niveaux d’exécution cités.
chkconfig --level 35 syslogd on

L’administrateur a exécuté la commande suivante :

C1(config)# logging trap warning

24) Quels sont les noms des différents niveaux de sévérité qui seront envoyés au serveur
Syslog ?
Warning
Error
Critical
Alert
Emergency
La ligne suivante provenant d’un routeur a été extraite du journal du serveur syslog.

*mai 28, 17:25:34.2525: %LINK-5-CHANGED: Interface Serial0/0/0, changed state to down

www.ofppt.info
 25) Quelle commande aurait permis de configurer un routeur Cisco afin d’envoyer des
messages log au serveur 10.0.13.144 ?
Logging 10.0.13.144
26) Expliquer les champs marqués dans le message syslog.
27) Pourquoi est-il important d’avoir une date et heure synchronisées sur l’ensemble des
équipements réseaux ? comment un administrateur peut-il atteindre ce but
facilement ?
Utiliser le protocole NTP

L’administrateur soupçonne qu’une des machines a subi une attaque aboutissant à l’écoute
électronique.

Les figures en annexe 4 concernent la machine victime et le routeur.

28) De quelle attaque s’agit-t-il dans ce cas ? décrire brièvement son principe.
Mac poisoning
29) Citer quelques méthodes qui peuvent aider à faire face à cette attaque ?
Utilisation des adresses mac sécurisées au niveau du switch

fo
Installer des IDS et IPS pour hôtes
… .in
30) Décrire une autre attaque qui peut donner lieu à l’écoute électronique.
Mac flooding
MITM
pt
fp
.o
w
w
w

www.ofppt.info
 Annexe 1 : Tableau d’adressage pour Site-D :

Adresses IP en Première adresse Dernière adresse

Réseau ID du VLAN Adresse réseau /longueur de préfixe
besoin utilisable utilisable
Service
approvisionnement.
VLAN11 30 10.0.16.128 /27 10.0.16.129 10.0.16.158
Service contrôle de
VLAN22 55 10.0.16.0 /26 10.0.16.1 10.0.16.62

fo
gestion.
Service qualité et

.in
sécurité.
VLAN33 22 10.0.16.160 /27 10.0.16.161 10.0.16.190

pt
Laboratoire. VLAN44 17 10.0.16.192 /27 10.0.16.193 10.0.16.222

fp
Service de
traitement.
VLAN55 47 10.0.16.64 /26 10.0.16.65 10.0.16.126

.o
Serveurs VLAN66 5 10.0.16.240 /29 10.0.16.241 10.0.16.246
w
w
VLAN de Gestion VLAN77 7 10.0.16.224 /28 10.0.16.225 10.0.16.238
w

www.ofppt.info
Annexe 2 : Connexion entre le siège et Site-D :

fo
.in
pt
fp
.o
w
w
w

www.ofppt.info
Annexe 3 : Schéma du réseau du Site-D

fo
.in
pt
fp
.o
w
w
w

www.ofppt.info
 Annexe 4 :
Résultats des commandes sur la machine victime :

C:\WINDOWS\system32> ipconfig /all

Configuration IP de Windows

Carte Ethernet Ethernet :

…………….
Adresse physique . . . . . . . . . . . : 00-22-5F-9B-87-46
……………..
Addresse IP ………........................: 10.0.0.37
Masque de sous-réseau.....................: 255.255.255.0
Default Gateway………...................: 10.0.0.1

fo
C:\WINDOWS\system32> arp -a
Adresse Internet Adresse physique Type
10.0.0.1 0066.6c66.cd2b
.in
dynamique
10.0.0.39 000b.bed3.e480 dynamique
pt
fp
.o

Résultats des commandes show sur le routeur :

w
w

Router-A# show interfaces gigabitEthernet 0/0

GigabitEthernet0/0 is up, line protocol is up (connected)
w

Hardware is CN Gigabit Ethernet, address is 0001.c94b.ba01 (bia 0001.c94b.ba01)

Internet address is 10.0.0.1/24
…………

Router-A# show arp

Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.0.0.1 - 0001.C94B.BA01 ARPA GigabitEthernet0/0
Internet 10.0.0.37 0 0066.6C66.CD2B ARPA
GigabitEthernet0/0
Internet 10.0.0.39 0 000B.BED3.E480 ARPA

www.ofppt.info
Barème de notation

fo
Q1 Q2 Q3 Q4 Q5 Q6 Q7 Q8 Q9 Q10 Total

.in
1,5 2 1 0,5 0,5 1 2 1 1 2 12,5

pt
Q11 Q12 Q13 Q14 Q15 Q16 Q17 Q18 Q19 Q20 Total

fp
2 0,5 1 1 1 1,5 0,5 1 1,5 2 12

.o
Q21 Q22 Q23 Q24 Q25 Q26 Q27 Q28 Q29 Q30 Total
1 0,5 1 2 1
w
2 2 2 2 2 15,5
w
w

www.ofppt.info